摘要:
2.updatexml()、extractvalue()、name_const()函数的使用3.I’ve noticed some variations in our payload. You can inject using these methods too.' or (payload) or ... 阅读全文
摘要:
http://danqingdani.blog.163.com/blog/static/1860941952012108115857107/ 阅读全文
摘要:
转自腾讯博文作者:TSRC白帽子发布日期:2014-09-03阅读次数:1338博文内容:博文作者:lol [TSRC 白帽子]第二作者:Conqu3r、花开若相惜来自团队:[Pax.Mac Team] 应邀参加TSRC WAF防御绕过挑战赛,由于之前曾经和Team小伙伴一起参加过安全宝WAF挑战,... 阅读全文
摘要:
本文转自乌云知识库0x00 背景运维安全属于企业安全非常重要的一环。这个环节出现问题,往往会导致非常严重的后果。本文从乌云上提交的近2000个运维方面的漏洞总结了一下经常出问题的点。希望各位看完之后能够有所收获~!目前已经总结的问题有:struts漏洞Web服务器未及时打补丁,有解析漏洞PHP-CG... 阅读全文
摘要:
转自:http://hi.baidu.com/shineo__o/item/7520d54c24d234c71081da82/ps:本以为这是一个偶然配置失误造成的问题,但最近几天无聊时测试发现,有此类似问题的站点就有上百个,所以在这里粗糙总结一下! 通常我们会碰到这样一个问题,在某个web容器中部... 阅读全文
摘要:
$pkav->publish{当php懈垢windows}剑心@xsser抛弃了我,但我却不能抛弃乌云..php懈垢windows,就像男人邂逅女人,早晚都会出问题的..感谢二哥@gainoverTips:本文讲述一种新型的文件上传方式(几个特性导致的漏洞),并给出相应的实例..详细说明:#1 实例... 阅读全文
摘要:
前言一个成熟的大型网站(如淘宝、京东等)的系统架构并不是开始设计就具备完整的高性能、高可用、安全等特性,它总是随着用户量的增加,业务功能的扩展逐渐演变完善的,在这个过程中,开发模式、技术架构、设计思想也发生了很大的变化,就连技术人员也从几个人发展到一个部门甚至一条产品线。所以成熟的系统架构是随业务扩... 阅读全文
摘要:
ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可以作为Apache Web服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。本文主要介... 阅读全文
摘要:
作者:bystander博客:http://leaver.me论坛:法克论坛目录1.大小写绕过2.简单编码绕过3.注释绕过4.分隔重写绕过5.Http参数污染(HPP)6.使用逻辑运算符or /and绕过7.比较操作符替换8.同功能函数替换9.盲注无需or和and10.加括号11.缓冲区溢出绕过1.... 阅读全文
摘要:
0x00 前言目前主流的CMS系统当中都会内置一些防注入的程序,例如Discuz、dedeCMS等,本篇主要介绍绕过方法。0x01 Discuz x2.0防注入防注入原理这里以Discuz最近爆出的一个插件的注入漏洞为例,来详细说明绕过方法。漏洞本身很简单,存在于/source/plugin/v63... 阅读全文